Detecte o tráfego C&C de SnappyClient com PacketSmith e módulo de detecção Yara-X

SnappyClient, uma família de malware em C++, se comunica com seu servidor C&C utilizando portas TCP 3333/3334 para o IP 151[.]242[.]122[.]227, empregando um protocolo binário customizado criptografado com ChaCha20-Poly1305. Isso torna seu tráfego resistente a corresponder assinaturas tradicionais de IDS/IPS. A abordagem de detecção combina os PaIDs em nível de protocolo do PacketSmith com o módulo matemático do Yara-X para gerar impressões do cabeçalho fixo de 3 bytes, validar o campo de comprimento contra o tamanho real do payload, verificar o byte de bandeira no offset 0x02 para 0x00 ou 0x01, confirmar entropia >= 4 e assegurar menos de 8 bytes nulos no payload criptografado. Validada contra 647MB de tráfego não relacionado com zero falsos positivos, a regra serve como um modelo prático para detectar canais C&C criptografados onde o conteúdo do payload não oferece oportunidades de ancoragem tradicionais.